Embed Size (px)
Citation preview
Sécurité et Windows Server 2003
SP1 et R2
Sécurité et Windows Server 2003
SP1 et R2
Stephane Saunier
Fabrice Meillon
Microsoft France
Objectifs
Proposer une vue d’ensemble des Proposer une vue d’ensemble des nouveautés liées à la sécurité nouveautés liées à la sécurité introduites dans Windows Server introduites dans Windows Server 2003 SP12003 SP1
Cette session ne traite pas de Cette session ne traite pas de l’ensemble des nouveautés liées au l’ensemble des nouveautés liées au SP1SP1
Version Version majeuremajeure
Version Version majeuremajeure
Version Version mineuremineure
~ 4 ans
~ 2 ans
Phase principal de supportPhase principal de support Support EtenduSupport Etendu
Au minimum 5 ansMin. 5 ans à partir de la version majeure
Cycle de disponibilité des versions Windows Server
Version Version majeuremajeure
VersionVersionmineuremineure
http://www.microsoft.com/windowsserver2003/evaluation/overview/roadmap.mspx
Windows Server 2003 “R2”Qu’est-ce que c’est ?
R2 est la dernière version de Windows R2 est la dernière version de Windows Server 2003Server 2003
Une nouvelle version particulière (1Une nouvelle version particulière (1erer version mineure) :version mineure) :
Base = WS2003 SP1Base = WS2003 SP1Même compatibilité des applications, même Même compatibilité des applications, même qualité, même stabilité et performance qualité, même stabilité et performance Composants nouveaux installés Composants nouveaux installés optionnellementoptionnellement
Gestion du stockageGestion du stockageGestion de l’identité et des accèsGestion de l’identité et des accèsGestion des réseaux d’agencesGestion des réseaux d’agences
Les Services Packs à venir seront applicables Les Services Packs à venir seront applicables sur Windows Serveur 2003 GOLD et R2.sur Windows Serveur 2003 GOLD et R2.
En savoir plus sur Windows 2003 R2
Gestion des identités Christophe Dubos & Philippe Christophe Dubos & Philippe Béraud,Béraud,Microsoft FranceMicrosoft France
Fédération des identités numériques (ADFS - partie 1 et partie 2)
Philippe Béraud, Microsoft FrancePhilippe Béraud, Microsoft France
Service Pack 1 pour Windows 2003 Challenges clés pour nos clientsSécurité Sécurité
Pouvoir sécuriser de façon simple leurs serveursPouvoir sécuriser de façon simple leurs serveurs
Etre de mesure de lutter contre les attaques réseau dès Etre de mesure de lutter contre les attaques réseau dès l’installationl’installation
Etre en mesure de faire face aux prochaines attaques Etre en mesure de faire face aux prochaines attaques
RobustesseRobustesseMinimiser les interruptions réseauMinimiser les interruptions réseau
PerformancePerformanceSécuriser sans impacter les performancesSécuriser sans impacter les performances
Pour Microsoft, au travers du SP1Poursuivre l’effort l’Informatique de confiance
Sécurité amélioréeSécurité amélioréeRéduction de la surface d’attaqueRéduction de la surface d’attaqueNouvelles améliorations de la sécuritéNouvelles améliorations de la sécurité
Configuration par défaut plus sûre et réduction des Configuration par défaut plus sûre et réduction des privilèges des services : RPC, DCOMprivilèges des services : RPC, DCOMSupport du matériel « No Execute » : Intel, AMDSupport du matériel « No Execute » : Intel, AMDPare-feu Windows : nouveau scénario d’installationPare-feu Windows : nouveau scénario d’installationAssistant Configuration de la Sécurité (SCW) : Assistant Configuration de la Sécurité (SCW) : configuration et « verrouillage » par rôleconfiguration et « verrouillage » par rôleAudit de la Audit de la metabasemetabase IIS 6.0 IIS 6.0
Fiabilité amélioréeFiabilité améliorée
Performances amélioréesPerformances amélioréesAmélioration 10%+ pour TPC, TPC-H, SAP, SSL, Amélioration 10%+ pour TPC, TPC-H, SAP, SSL, etc…etc…
Mise à jour de sécurité post installation pour Windows Server (PSSU – Post-Setup Security Updates)(PSSU – Post-Setup Security Updates)
Conçue pour sécuriser les serveurs après leur Conçue pour sécuriser les serveurs après leur installation (premier démarrage) et avant installation (premier démarrage) et avant l’application des derniers correctifs de sécuritél’application des derniers correctifs de sécurité
Lancement au premier administrateur ouvrant Lancement au premier administrateur ouvrant une session si le pare feu Windows n’a pas été une session si le pare feu Windows n’a pas été explicitement activé dans le script d’installation explicitement activé dans le script d’installation sans assistance ou les stratégies de groupesans assistance ou les stratégies de groupe
Bloques les connexions entrantes jusqu’au Bloques les connexions entrantes jusqu’au clique sur “Terminer”clique sur “Terminer”
Mises à jour de sécurité post-installation pour Windows Server
Lien vers Windows UpdateLien vers Windows Update
Possibilité de configurer les mises à jour Possibilité de configurer les mises à jour automatiques (Auto Update)automatiques (Auto Update)
Ré-exécuté si non terminé au premier Ré-exécuté si non terminé au premier redémarrageredémarrage
En cas de fermeture forcée (Alt+F4), aucun En cas de fermeture forcée (Alt+F4), aucun changement n’est appliqué au pare-feu, PSSU changement n’est appliqué au pare-feu, PSSU sera ré-exécuté au prochain logon sera ré-exécuté au prochain logon administrateuradministrateur
Mise à jour de sécurité
post-installation
Mise à jour de sécurité
post-installation
Assistant Configuration de la sécurité (SCW)
La sécurité doit être appliquée mais La sécurité doit être appliquée mais construire son propre modèle n’est pas si construire son propre modèle n’est pas si simple pour beaucoupsimple pour beaucoupObjectif de l’assistant : Aider les Objectif de l’assistant : Aider les administrateurs dans la réduction de la administrateurs dans la réduction de la surface d’attaque des serveurs Windows en surface d’attaque des serveurs Windows en tenant compte des rôles du serveurtenant compte des rôles du serveurComposant optionnel de Windows Server Composant optionnel de Windows Server 20032003Simple et fonctionnelSimple et fonctionnel
Simple d’utilisation, basé sur des Simple d’utilisation, basé sur des questions/réponsesquestions/réponsesAutomatique en regard des guides papiersAutomatique en regard des guides papiersEntièrement testé et Entièrement testé et supportésupporté par Microsoft par Microsoft
Assistant Configuration de la Sécurité
Réduction de la surface d’attaque pour les Réduction de la surface d’attaque pour les serveurs Windowsserveurs Windows
Basé sur des modèles Basé sur des modèles des rôles des rôlesDésactive les services non nécessairesDésactive les services non nécessairesDésactive les Extensions Web IIS non nécessairesDésactive les Extensions Web IIS non nécessairesBloque les ports non utilisés, y compris sur les Bloque les ports non utilisés, y compris sur les systèmes à plusieurs cartes réseausystèmes à plusieurs cartes réseauAide la sécurisation des ports laissés ouverts par Aide la sécurisation des ports laissés ouverts par IPsecIPsecRéduit l’exposition des protocoles (signature Réduit l’exposition des protocoles (signature LDAP LDAP & SMB, Compatibilité Lan Man et LMHash…)& SMB, Compatibilité Lan Man et LMHash…)Configure l’audit (SACLs)Configure l’audit (SACLs)Possibilité d’importer des modèles SCE (inf)Possibilité d’importer des modèles SCE (inf)
Fichiers xmlFichiers xml
Assistant Configuration de la sécurité
Assistant Configuration de la sécurité
Opérations liées à SCW
Retour en arrièreRetour en arrièreAnalyse, pour vérifier la conformité des Analyse, pour vérifier la conformité des machines par rapport aux stratégiesmachines par rapport aux stratégiesConfiguration et analyse à distanceConfiguration et analyse à distance
Interface graphiqueInterface graphiqueLigne de commande pour configuration et analyse à Ligne de commande pour configuration et analyse à distance et en masse (scwcmd.exe)distance et en masse (scwcmd.exe)
Intégration à Active Directory pour un Intégration à Active Directory pour un déploiement par stratégies de groupedéploiement par stratégies de groupePossibilité d’éditer les stratégies créées, lorsque Possibilité d’éditer les stratégies créées, lorsque les machines sont réaffectéesles machines sont réaffectéesVues XSL de la Base de Connaissances, des Vues XSL de la Base de Connaissances, des stratégies et des résultats d’analysestratégies et des résultats d’analyse
Néanmoins limité ex: SCW et IPsec
Sécurité au niveau portSécurité au niveau portCréer des restrictions de sécurité sur le trafic Créer des restrictions de sécurité sur le trafic réseau TCP ou UDP entrant pour chaque port, en réseau TCP ou UDP entrant pour chaque port, en fonction de l'adresse IP d'où provient le trafic. fonction de l'adresse IP d'où provient le trafic.
IPSec nécessite une configuration par machineIPSec nécessite une configuration par machine
SCW permet une configuration avec la règle par défaut SCW permet une configuration avec la règle par défaut pour les clients (Accepter le trafic entrant non signé et pour les clients (Accepter le trafic entrant non signé et non crypté)non crypté)
SCW ne crée pas de stratégies IPSec SCW ne crée pas de stratégies IPSec “évoluées”“évoluées”
Communications DC-vers-DCCommunications DC-vers-DC
Segmentation réseauSegmentation réseau
QuarantaineQuarantaine
Configuration et Analyse de la Sécurité (SCE)
SCE vs SCWChoisir le bon outilChoisir le bon outil
Appliquer une configuration génériqueAppliquer une configuration génériqueUtiliser les guides et l’outil Configuration et Analyse de la SécuritéUtiliser les guides et l’outil Configuration et Analyse de la Sécurité (SCE)(SCE)
Créer une configurationCréer une configurationUtiliser l’un ou l’autreUtiliser l’un ou l’autreSCW est plus flexible et couvre plus d’optionsSCW est plus flexible et couvre plus d’options
Comprendre les paramètres Comprendre les paramètres Utiliser les guides et la documentation de SCWUtiliser les guides et la documentation de SCW
Possibilité d’inclure des modèles SCE dans une Possibilité d’inclure des modèles SCE dans une stratégie SCWstratégie SCW
Paramètres d’audit personnalisésParamètres d’audit personnalisésPersonnalisation des permissions DACLs and SACLsPersonnalisation des permissions DACLs and SACLsParamètres non couverts par SCWParamètres non couverts par SCW
SCE vs SCWLes + de SCW Les + de SCW
Couvre plus de domaineCouvre plus de domaine
Moins de risque “de détruire” le systèmeMoins de risque “de détruire” le système
Les stratégies seront mieux optimiséesLes stratégies seront mieux optimisées
Directement utilisable à distanceDirectement utilisable à distance
Moins de connaissance requiseMoins de connaissance requise
Possibilités d’extensionPossibilités d’extension
Meilleur support du retour arrièreMeilleur support du retour arrière
Les + de SCELes + de SCEPlus flexiblePlus flexible
Plus facile de personnaliser les paramètres individuelsPlus facile de personnaliser les paramètres individuels
Directement utilisable par les stratégies de groupeDirectement utilisable par les stratégies de groupe
Réseau : pare-feu, DCOM, RPC…Pare-feu WindowsPare-feu Windows
Configuration : Stratégies de groupes, ligne de Configuration : Stratégies de groupes, ligne de commande, installation silencieusecommande, installation silencieuseProtection au démarrageProtection au démarrageConfiguration selon le rôle du serveurConfiguration selon le rôle du serveur
Protection de RPC/DCOMProtection de RPC/DCOMObjets RPC exécutés avec des privilèges réduitsObjets RPC exécutés avec des privilèges réduitsNouvelles clés de registre RPCNouvelles clés de registre RPC
Permet aux applications serveurs de restreindre l’accès Permet aux applications serveurs de restreindre l’accès aux interfacesaux interfaces
Restrictions d’accès DCOM complémentairesRestrictions d’accès DCOM complémentairesModèle d’authentification renforcéModèle d’authentification renforcéRéduction globale du risque lié aux attaquesRéduction globale du risque lié aux attaques
Les ports RPC et DCOM sont gérés comme un Les ports RPC et DCOM sont gérés comme un cas particulier par le pare-feu Windowscas particulier par le pare-feu Windows
Pièces jointes : OE, IE, IM…
Nouvelle API publique pour gérer les Nouvelle API publique pour gérer les attachements sans danger (attachements sans danger (Attachment Attachment Execution ServiceExecution Service))
Par défaut, on ne fait pas confiance aux Par défaut, on ne fait pas confiance aux attachements dangereuxattachements dangereux
Outlook Express, Windows Messenger, IE Outlook Express, Windows Messenger, IE modifiés pour utiliser la nouvelle API modifiés pour utiliser la nouvelle API
Ouvrir / exécuter les attachements avec le Ouvrir / exécuter les attachements avec le moins de privilège possiblemoins de privilège possible
Prévisualisation sans danger des messagesPrévisualisation sans danger des messages
Navigation Web
Verrouiller les zones local machine et local Verrouiller les zones local machine et local intranetintranetAméliorer les notifications lors de Améliorer les notifications lors de l’exécution ou de l’installation de contrôles l’exécution ou de l’installation de contrôles et d’applications ActiveXet d’applications ActiveXDésarmer les attaques en cross domain Désarmer les attaques en cross domain script sur les APIscript sur les APILimitation de l’usurpation d’interface Limitation de l’usurpation d’interface utilisateurutilisateurSuppression des fenêtres de pop-up sauf si Suppression des fenêtres de pop-up sauf si elles sont lancées par une action elles sont lancées par une action utilisateurutilisateur
Réduction de la surface
d’attaque
Réduction de la surface
d’attaque
Réduire l’exposition à certains dépassement de mémoire tamponCertains services ou applications Certains services ou applications
gèrent de façon non correcte les gèrent de façon non correcte les messages malformés.messages malformés.
Un attaquant peut envoyer un Un attaquant peut envoyer un message avec des données dont message avec des données dont la taille est supérieure à celle la taille est supérieure à celle attendueattendue
Les données supplémentaires sont du Les données supplémentaires sont du code dangereux code dangereux
Le code dangereux est alors écrit Le code dangereux est alors écrit dans une zone de la mémoire ou il dans une zone de la mémoire ou il est exécuté.est exécuté.
En savoir plus…En savoir plus…
Protection contre les Buffer Overflow Compilation avec /GS
Sens croissant des adresses
Buffers Autres vars
EB
P
EIP Args
Une pile normale
Buffers Autres vars
EB
P
EIP Args
cookie
Pile VC++ 2002 (avec /GS)
BuffersAutres vars
EB
P
EIP Args
cookie
Pile VC++ 2003 (avec /GS)
Ecrire du code sécurisé : un regard sur les bonnes pratiques d'implémentation
Eric Mittelette & Eric Vernié, Eric Mittelette & Eric Vernié, Microsoft FranceMicrosoft France
Visual Studio 2005 et sécurité Eric Vernie & Eric Mittelette, Microsoft Eric Vernie & Eric Mittelette, Microsoft FranceFrance
En savoir plus
Ne permettre l’exécution de code en mémoire que Ne permettre l’exécution de code en mémoire que dans des régions spécifiquement marquées comme dans des régions spécifiquement marquées comme executeexecute
Prévention exécution de données matérielPrévention exécution de données matérielNécessite le support du processeur contre l’exécution (NX : No Nécessite le support du processeur contre l’exécution (NX : No Execute ou XD : Execute Disable) (AMD64 / Itanium /Intel EMT)Execute ou XD : Execute Disable) (AMD64 / Itanium /Intel EMT)
Prévention exécution de données logicielPrévention exécution de données logicielApplicable pour n’importe quel processus s’exécutant sur l’OS Applicable pour n’importe quel processus s’exécutant sur l’OS
Activé par défaut pour les binaires Windows.Activé par défaut pour les binaires Windows.
ConfigurationConfigurationBoot.ini switch “Boot.ini switch “/noexecute=/noexecute=PolicyLevelPolicyLevel” ”
OptInOptIn / OptOut / AlwaysOn / AlwaysOff / OptOut / AlwaysOn / AlwaysOff
Configuration graphique possible au travers des options de Configuration graphique possible au travers des options de performancesperformances
Prévention de l’exécution des données
Prévention de l’exécution des données
Impact sur les applications
Pas de code dynamiqueAssurez-vous que votre application n’exécute par de code dans un segment de donnéesAssurez-vous que vos applications et drivers supporte le mode PAEUtiliser les instructions valides pour que votre code fonctionneTester votre code sur des processeurs 64 bit et 32 bits en mode PAE avec protection de l’exécution
Windows Server 2003 SP1Quelques autres nouveautés
Access-based EnumerationAccess-based Enumeration – ne montrer aux – ne montrer aux utilisateurs que les fichiers et répertoires utilisateurs que les fichiers et répertoires auxquels ils ont accès. Outil de configuration :auxquels ils ont accès. Outil de configuration :http://go.microsoft.com/?linkid=2726554
Audit de la metabase IISAudit de la metabase IIS
RRAS : support des outils de quarantaine (rqc/rqs)RRAS : support des outils de quarantaine (rqc/rqs)
Terminal Services : utilisation de SSL/TLS 1.0 Terminal Services : utilisation de SSL/TLS 1.0 pour l’authentification du serveur et le pour l’authentification du serveur et le chiffrement (client RDP 5.2 sur Windows 2000, chiffrement (client RDP 5.2 sur Windows 2000, XP, 2003)XP, 2003)What’s New in TSWhat’s New in TS : : http://go.microsoft.com/?linkid=2700421
http://support.microsofot.com/kb/895433
Access Based Enumeration
Access Based Enumeration
Terminal Services
Authentification du serveur
et chiffrement
Terminal Services
Authentification du serveur
et chiffrement
Mais le SP1 c’est aussi :
Mise à jour d’ADPREP (Sysvol)Mise à jour d’ADPREP (Sysvol)Installation depuis un media (DNS)Installation depuis un media (DNS)Evolution DCdiag (tests DNS)Evolution DCdiag (tests DNS)Ntdsutil (suppression des DCs) Ntdsutil (suppression des DCs) FSMO : status et ID EventsFSMO : status et ID EventsRestreindre l’accès sur certains attributsRestreindre l’accès sur certains attributsRappel pour les sauvegardes des partitions d’ADRappel pour les sauvegardes des partitions d’ADSupport pour la virtualisation des DCsSupport pour la virtualisation des DCsDrag and Drop dans la mmc Utilisateurs et Drag and Drop dans la mmc Utilisateurs et ordinateurs Active Directoryordinateurs Active Directory
http://www.microsoft.com/technet/downloads/winsrvr/servicepacks/sp1/default.mspx
Déployer le SP1
Tester, tester, tester !! Tester, tester, tester !! Valider le bon fonctionnement de vos applications Valider le bon fonctionnement de vos applications sur le serveur après mise à niveau vers le SP1sur le serveur après mise à niveau vers le SP1
Méthode de déploiementMéthode de déploiementMise à jour – systèmes existantsMise à jour – systèmes existants
Installation intégrée (Installation intégrée (slipstreamslipstream) – nouveaux ) – nouveaux systèmessystèmes
Windows Server 2003 SP1 Blocker Tool KitWindows Server 2003 SP1 Blocker Tool Kithttp://www.microsoft.com/windowsserver2003/evaluation/news/bulletins/ws03sp1blockertool.mspx
Effectif jusqu’au 30 mars 2006 Effectif jusqu’au 30 mars 2006
Quelques retours d’expérience…
Vous ne pouvez pas exécuter l'Exchange Server Deployment Tools à Vous ne pouvez pas exécuter l'Exchange Server Deployment Tools à partir d'un partage réseau avec succès après avoir installé Windows partir d'un partage réseau avec succès après avoir installé Windows Server 2003 SP1 Server 2003 SP1 (897340)(897340)
Utilisateurs de Microsoft Outlook ne peuvent pas être en mesure après Utilisateurs de Microsoft Outlook ne peuvent pas être en mesure après vous le Security Configuration Wizard exécuté dans Windows Server vous le Security Configuration Wizard exécuté dans Windows Server 2003 SP1 à se connecter à leurs comptes 2003 SP1 à se connecter à leurs comptes (896742)(896742)
Clients VPN ne peuvent plus de ressources d'accès internes une fois que Clients VPN ne peuvent plus de ressources d'accès internes une fois que vous installez Windows Server 2003 Service Pack 1 sur un ordinateur qui vous installez Windows Server 2003 Service Pack 1 sur un ordinateur qui exécute ISA Server 2000 exécute ISA Server 2000 (897651)(897651)Espace disque minimal requis pour Windows Server 2003 Service Pack 1 Espace disque minimal requis pour Windows Server 2003 Service Pack 1 (892807)(892807)
Compatibilité Windows Server 2003 Service Pack 1 d'applications Compatibilité Windows Server 2003 Service Pack 1 d'applications (896367)(896367)
Prise en charge pour Windows Server 2003 SP1 sur dispositifs de serveur Prise en charge pour Windows Server 2003 SP1 sur dispositifs de serveur Windows Storage Server 2003-based Windows Storage Server 2003-based (894372)(894372)
Notes de publication pour Windows Server 2003 Service Pack 1 Notes de publication pour Windows Server 2003 Service Pack 1 (889101)(889101)
Quelques ressources utilesSP1 de Windows 2003www.microsoft.com/technet/prodtechnol/windowsserver2003/servicepack/default.mspx Windows 2003 R2http://www.microsoft.com/windowsserver2003/R2/overview/default.mspx
Site Sécuritéhttp://www.microsoft.com/france/securite
Séminaire Technet, Webcasts/e demos et Chatshttp://www.microsoft.com/france/technet/seminaires
Newsgroup : sécurité microsoft.public.fr.securite
Questions / Réponses
